catalog . Linux进程权限原理 . 最小权限原则 - 进程降权运行最佳实践 . 进程权限控制包含的攻防向量 . 进程高权限安全风险检查技术方案 1. Linux进程权限原理 我们知道,Linux的权限管理体系中,有2个基础权限规则源 . MAC模型: 磁盘ACL权限,在Linux文件管理中,每个文件又有九位的权限说明,用来指明该文件允许哪些用户执行哪些操作(读.写或者执行) . DAC模型: SELINUX权限管理 这2类权限规则是相对静态的东西,穿插在它们之间,相对动态的东西是 .…

catalog . 引言 . 基于so文件劫持进行代码注入 . 基于函数符号表(PLT)中库函数入口地址的修改进行代码注入 . PLT redirection through shared object injection into a running process . 基于ptrace() Linux调试API函数进行代码注入 . Linux Hotpatch技术 . 基于软件输入控制漏洞(overflow)进行代码注入 . 动态共享库的保护技术 0. 引言 从本质上来说,代码注入.so注入…

最近在研究spring security时,大概研究了一下Authority.Role之间到底有什么本质的区别. 如果你使用的是hasRole方法来判断你的登录用户是否有权限访问某个接口,那么你初始化User时,放入的GrantedAuthority的字符就需要包含ROLE_前缀,参见下图红箭头: 接口访问权限配置应该是这样: 或者是这样: 如果你使用的是hasAuthority,那么你初始化User时,放入的GrantedAuthority的字符就不需要包含ROLE_前缀了,参见下图红箭头:…

网络/配置 环境: centos6.8-mini-version virtualbox 工具: FileZilla client  SecureCRT 静态ip地址 每一台计算机分配有一个固定的IP地址,优点是便于管理,缺点是有被盗的安全隐患. linux 配置静态ip地址 配置文件位置 默认配置文件内容: onboot  两个可选值: yes,no yes: 网络开机自启动 no:开机不启动 bootproto 三个可选值:static,dhcp,no static:开启静态ip地址配置 dh…

Linux资源使用配置文件 /etc/security/limits.conf http://www.linuxidc.com/Linux/2012-05/59489.htm Linux就这个范儿P561 Linux处于稳定性的考虑,默认情况下对系统资源都做了限制,有一些Linux发行版会保守一些,如果不是很极端的话,尽量不要修改 还有一个限制最大打开文件描述符的地方,通过procfs文件系统来调整 cat /proc/sys/fs/file-max 这个文件主要是用来限制用户对系统资源的使用,…

Tomcat自身的调优是针对conf/server.xml中的几个参数的调优设置.首先是对这几个参数的含义要有深刻而清楚的理解.以tomcat8.5为例,讲解参数. 同时也得认识到一点,tomcat调优也受制于linux内核.linux内核对tcp连接也有几个参数可以调优. 因此我们可以将tomcat调优分为linux内核优化.java虚拟机调优和tomcat自身的优化. 一.Tomcat自身优化 1. maxThreads :tomcat创建的最大线程数,也就是同时处理的请求最大并发数.默认值…

0. 引言 0x1: Linux系统攻防思想 在linux下进行"进程kill"和"进程保护"的总体思路有以下几个,我们围绕这几个核心思想展开进行研究 . 直接从外部杀死目标进程 . 进入到目标进程内部,从内部杀死.毁坏目标进程 . 劫持目标进程的正常启动.执行流程,从而杀死进程 . 利用系统原生的机制来"命令"进程结束 . 从内核态进程进程杀死 对于系统级攻防的对抗,我们需要明白,如果防御者和攻击者所处的层次维度是相同的(Ring3 again…

1.问题: 最近在做日志的实时同步,上线之前是做过单份线上日志压力测试的,消息队列和客户端.本机都没问题,但是没想到上了第二份日志之后,问题来了: 集群中的某台机器 top 看到负载巨高,集群中的机器硬件配置一样,部署的软件都一样,却单单这一台负载有问题,初步猜测可能硬件有问题了. 同时,我们还需要把负载有异常的罪魁祸首揪出来,到时候从软件.硬件层面分别寻找解决方案. 2.排查: 从 top 中可以看到 load average 偏高,%wa 很高,%us 偏低: 从上图我们大致可以推断 IO…

转自Linux 下编译.安装.配置 QT 注意:编译安装耗时费力,且很容易出错,要不断调整编译参数,不推荐使用,否则这将会是一个纠结痛苦的过程. 打算做嵌入式图像处理,计划方案嵌入式Linux+OpenCV+QT,昨天简单入门OpenCV今天看看QT,QT就先弄Linux下面的,回家之前争取把基本的摸通,然后能在板子上跑起来. 软件环境 Linux:Ubuntu 12.04 X86 QT:4.8.4 关于QT安装 QT的早期版本和现在版本有点变化,提供的文件也不尽相同,最新的版本为5.0,我这里…

在linux里,source.sh.bash../都可以执行shell script文件,那它们有什么不同吗? ----------- 1.source source a.sh 在当前shell内去读取.执行a.sh,而a.sh不需要有"执行权限" source命令可以简写为"." . a.sh 注意:中间是有空格的. 2.sh/bash sh a.sh bash a.sh 都是打开一个subshell去读取.执行a.sh,而a.sh不需要有"执行权限&q…